Gängige initiale Angriffsvektoren

Gängige Methoden, die Angreifer verwenden, um in die Infrastruktur eines Unternehmens zu gelangen.

Andere Unternehmen kontaktieren oft unsere Experten, damit sie bei kritischen Vorfällen mittels Vorfallsreaktion (eng. Incident Response) die Untersuchung durchführen (oder bei der Untersuchung helfen). Auch zur Analyse von den Tools der Cyberkriminellen werden unsere Experten häufig zurate gezogen. 2020 konnten wir eine Menge an wertvollen Daten sammeln, die einen tiefen Einblick in die moderne Bedrohungslandschaft bieten. Diese Daten helfen uns mögliche Angriffsszenarios vorherzusagen – einschließlich der gängigsten initialen Angriffsvektoren – und die besten Abwehrtaktiken auswählen.

Wenn wir einen Cybervorfall untersuchen, widmen wir dem anfänglichen Angriffsvektor besonders viel Aufmerksamkeit. Einfach ausgedrückt, gelangen die Cyberverbrecher über eine schwache Stelle in die Infrastruktur und diese Stelle im Abwehrsystem zu finden ist ausschlaggebend.

Leider ist das nicht immer möglich. Es kommt auch vor, dass es zu lange gedauert hat, bis der Vorfall erkannt wurde. In anderen Fällen hat das Opfer die Logdatei (auch Protokolldatei genannt) oder die Spuren zerstört (entweder ausersehen oder absichtlich).

Kompliziert wird es auch, wenn die Cyberverbrecher über eine Lieferkette angreifen – eine Methode die zunehmend beliebter wird – weil bei solchen Angriffen der initiale Vektor nicht bei den letzten Opfern zu finden ist, sondern beim Drittanbieter-Programm eines Entwicklers oder Dienstleisters. Trotz alledem konnten unsere Experten in mehr als der Hälfte der Vorfälle präzise feststellen, was der anfängliche Angriffsvektor war.

Erster und zweiter Platz: Brute-Force-Angriffe und Exploits bei öffentlich zugänglichen Apps

Brute-Force-Angriffe und Exploit von Schwachstellen der öffentlich zugänglichen Apps und Systeme, auf die von außerhalb des Netzwerkperimeter eines Unternehmens zugegriffen werden kann, teilen sich die ersten zwei Plätze. Beide dienten als initialer Angriffsvektor zum Eindringen in die Systeme in 31,58 % der Fälle.

Wie wir bereits in den vorherigen Jahren beobachten konnten, ist keine Methode so effektiv, wie die Durchführung eines Angriffs in Form von Exploit einer Sicherheitslücke. Eine detailliertere Analyse der ausgenutzten Sicherheitslücken deutete darauf hin, dass die Vorfälle überwiegend auf das Versäumen der Updates seitens der Unternehmen zurückzuführen war, denn zum Zeitpunkt des Angriffs standen bereits Patches für jede einzelne Schwachstelle zur Verfügung. Mit der rechtzeitigen Aktualisierung hätten die Opfer die Angriffe vermeiden können.

Der massive Wandel zur Arbeit im Homeoffice und der riesige Anstieg der Benutzung von Remote-Zugang sind für die Beliebtheit der Brute-Force-Angriffe verantwortlich. Während des Wandels haben viele Organisationen die Sicherheitsangelegenheiten nicht ernst genug genommen. Die Folgen davon ließen nicht lange auf sich warten – quasi über Nacht stiegen die Angriffe auf Remote-Verbindungen drastisch an. Beispielsweise konnten wir im Zeitraum von März bis Dezember 2020 einen Anstieg von 242 % bei den Brute-Force-Angriffen beobachten, die auf Remote Desktop Protocol (RDP) basierten.

Dritter Platz: Schädliche E-Mails

In 23,68 % der Fälle wurden E-Mails als anfängliche Angriffsvektoren verwendet, entweder mit Malware im Anhang oder in Form von Phishing-Mail. Diese Arten von schädlichen Nachrichten werden schon seit Langem sowohl für gezielte Angriffe als auch für Massenangriffe verwendet.

Vierter Platz: Kompromittierung durch USB-Stick

Manchmal versuchen Angreifer Zugang zu einem System zu erhalten, indem sie eine Webseite verwenden, die von dem Opfer regelmäßig besucht wird oder wo es zufällig darauf stößt. Für diese Taktik, die wir bei einigen komplexen APT-Angriffen (Advanced Persistent Threat) beobachten konnten, statten die Cyberverbrecher die Webseite entweder mit Skripts aus, die eine Schwachstelle im Browser ausnutzen, um schädlichen Programmcode auf dem Computer des Opfers auszuführen oder tricksen das Opfer aus, damit es die Malware herunterlädt und auf dem Rechner installiert. 2020 war das der initialer Angriffsvektor bei 7,89 % der Fälle.

Fünfter und sechster Platz: Externe Speichermedien und Insider

Die Verwendung von USB-Sticks zur Netzwerkinfiltration bei Unternehmen kommt nur noch selten vor. Abgesehen davon, dass Computerviren für USB-Sticks inzwischen größtenteils der Vergangenheit angehören, ist die Taktik, jemanden unbemerkt einen schädlichen USB-Stick zuzustecken, nicht besonders zuverlässig. Trotzdem wurde diese Methode bei 2,63 % der Fällen von initialen Netzwerkpenetration verwendet.

Insiders habe zum gleichen Prozentsatz an Vorfällen (2,63 %) beigetragen. Insiders sind Mitarbeiter – oder ehemalige Mitarbeiter – die, aus welchem Grund auch immer, ihrem Arbeitgeber Schaden zufügen möchten.

Wie die Risiken von Cybervorfällen und deren Folgen minimiert werden können

Die meisten Vorfälle, die von unseren Experten analysiert wurden, waren vermeidbar. Basierend auf den Ergebnissen, empfehlen die Experten Folgendes:

  • Eine strenge Passwortrichtlinie einzuführen und darauf zu bestehen, dass mehrstufige Authentifizierung verwendet wird, wenn diese Option zur Verfügung steht.
  • Die Verwendung von öffentlich zugänglichen Diensten vermeiden, die remote verwaltet werden.
  • Software-Updates so schnell wie möglich durchführen.
  • Mail-Server mit Tools zu schützen, die Phishing- und Malware-Angriffe effektiv abwehren.
  • Mitarbeiter regelmäßig in Sachen IT-Sicherheitsbewusstseinschulen, damit sie bestens über die modernen Cyberbedrohungen informiert sind.

Denken Sie außerdem daran alle Audit- und Protokollierungssysteme richtig zu konfigurieren und regelmäßige Sicherheitskopien zu machen – nicht nur, um die Arbeit der IT-Forscher zu erleichtern, sondern auch, um den Schaden von möglichen Cybervorfällen zu minimieren.

Die oben angegebenen Statistiken sind natürlich ein kleiner Teil aller nützlicher Informationen, die unsere Experten zur Verfügung stellen. Den kompletten Text unseres Incident Response Analyst Report 2021 finden Sie hier.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.